février 12, 2021

Microsoft a déclaré que le nombre de coquilles Web avait doublé depuis l’année dernière

Par admin2020


msft-web-shells-2021.png

Image: Microsoft

Microsoft affirme que le nombre de coquilles Web malveillantes installées sur des serveurs Web a presque doublé depuis son dernier décompte, l’année dernière en août 2020.

Dans un article de blog hier, la société de Redmond a déclaré avoir détecté à peu près 140000 web shells par mois entre août 2020 et janvier 2021, contre 77000 en moyenne l’année dernière.

Le nombre a augmenté en raison d’un changement dans la façon dont les pirates voient les shells Web. Autrefois considérés comme un outil pour les script kiddies dégradant les sites Web et l’outil incontournable des opérateurs de botnet DDoS, les web shells font désormais partie de l’arsenal des gangs de ransomwares et des pirates des États-nations et sont des outils cruciaux utilisés dans des intrusions complexes.

Deux des raisons pour lesquelles ils sont devenus si populaires sont leur polyvalence et leur accès aux serveurs piratés.

Les shells Web, qui ne sont rien de plus que de simples scripts, peuvent être écrits dans presque tous les langages de programmation qui s’exécutent sur un serveur Web – tel que PHP, ASP, JSP ou JS – et ainsi de suite, peuvent être facilement cachés dans le code source d’un site Web. Cela rend leur détection une opération difficile, qui implique souvent une analyse manuelle d’un opérateur humain.

De plus, les shells Web fournissent aux pirates un moyen simple d’exécuter des commandes sur un serveur piraté via une interface graphique ou de ligne de commande, offrant aux attaquants un moyen simple de faire remonter les attaques.

Les shells Web sont de plus en plus répandus à mesure que davantage de serveurs sont mis en ligne

Au fur et à mesure que l’espace informatique de l’entreprise évoluait vers des environnements de cloud hybride, le nombre d’entreprises exécutant des serveurs Web a augmenté au cours des dernières années et, dans de nombreux cas, les serveurs publics ont souvent des connexions directes aux réseaux internes.

Comme l’ont montré les statistiques de Microsoft, les attaquants semblent également avoir compris ce changement dans la composition des réseaux informatiques d’entreprise et ont intensifié leurs attaques contre les systèmes publics.

Les shells Web jouent désormais un rôle crucial dans leurs attaques, offrant un moyen de contrôler le serveur piraté, puis d’orchestrer un pivot vers le réseau interne d’une cible.

Ces types d’attaques sont exactement ce dont la National Security Agency américaine a mis en garde en avril 2020 lorsqu’elle a publié une liste de 25 vulnérabilités souvent utilisées pour installer des web shells.

Le rapport de la NSA n’a pas seulement mis en garde contre les shells Web utilisés sur les systèmes publics, mais aussi sur leur utilisation à l’intérieur des réseaux internes, où ils sont utilisés comme proxys pour accéder à des systèmes non publics.

Microsoft exhorte les entreprises à redéfinir leurs priorités en matière de gestion des shells Web, qui deviennent lentement l’une des plus grandes menaces de sécurité d’aujourd’hui. Afin de sécuriser les réseaux, le fabricant du système d’exploitation recommande quelques actions de base:

  • Corrigez les systèmes accessibles au public, car la plupart des shells Web sont installés après que les attaquants exploitent des vulnérabilités non corrigées.
  • Étendez les protections antivirus aux serveurs Web, pas seulement aux postes de travail des employés.
  • Segmentation du réseau pour limiter les dommages causés par un serveur infecté à un petit nombre de systèmes et non à l’ensemble du réseau.
  • Auditez et examinez fréquemment les journaux des serveurs Web, en particulier pour les systèmes accessibles au public, qui sont plus vulnérables aux analyses et aux attaques.
  • Pratiquez une bonne hygiène des informations d’identification Limitez l’utilisation de comptes avec des privilèges de niveau administrateur local ou de domaine.
  • Vérifiez votre pare-feu de périmètre et votre proxy pour limiter les accès inutiles aux services, y compris l’accès aux services via des ports non standard.



Source link